Im Rahmen eines Bug-Bounty-Programms haben ethische Hacker beim Spital Sicherheitslücken entdeckt, die auch schon für Ransomware-Angriffe ausgenutzt worden sind.
Zwei kritische Lücken im Service-Desk-Portal von Cherwell und im Citrix Netscaler beim Spital Thun blieben lange Zeit unentdeckt und hätten den Betrieb gefährden können – wenn sie denn von Cyberkriminellen ausgenutzt worden wären. Gerade über jene in Citrix wurden in der Vergangenheit sensible Daten gestohlen.
Bug-Report des White-Hat-Hackers.
Passiert ist dies beim Thuner Spital allerdings nicht und die Lücken sind mittlerweile gestopft. Gefunden hat sie ein in Australien ansässiger Westeuropäer, der sich in seiner Freizeit als White-Hat-Hacker ein Nebeneinkommen sichert. 6000 Franken erhielt er in diesem Fall als Belohnung ausbezahlt, je 3000 Franken pro Leck.
White-Hat-Hacker in Australien findet Thuner Lücken
"Brsn" nennt sich der Mann und er war einer von 75 Hackern, die im Herbst vergangenes Jahr von der darauf spezialisierten Firma Bug Bounty Switzerland im Auftrag des Thuner Spitals eingeladen worden waren, dessen Systeme zu testen beziehungsweise zu hacken.
Alexander Brügger
Insgesamt 30'000 Franken war dieser Auftrag dem Spital wert, den es ans Berner Unternehmen vergab. Es sei nicht schwierig gewesen, die Spitalleitung davon zu überzeugen, erzählt Alexander Brügger, Leiter IT-Infrastruktur beim Spital. Diese hätte ein gutes Gespür für IT und im "ICT-Board stimmen wir uns alle zwei Monate ab".
Von dieser Summe steht die Hälfte als "Bounty-Wallet" zur Verfügung, wird also an die Hacker ausbezahlt, die eine Lücke finden. "Die andere Hälfte benötigen wir für die Koordination mit den Hackern, die Steuerung gemäss den abgemachten Vorgaben und den operativen Betrieb der Tests", erklärt Florian Badertscher, CTO und Mitgründer von Bug Bounty Switzerland.
Florian Badertscher
Das Unternehmen hat eigenen Angaben zufolge gut 10'000 White-Hat-Hacker in seiner Kartei und schreibt diese je nach Auftrag und Kunde an. "Gute Hacker verdienen sechsstellig im Jahr", so Badertscher, der sagt, die Identität der jeweiligen Personen zu kennen.
Die meisten Hacker gehen leer aus
Im Falle des Thuner Spitals gingen die meisten der angefragten Hacker leer aus. Gerade mal neun der angefragten 75 Personen haben zusammen 14 Lücken gemeldet. Aber weil nur fünf Hacker insgesamt acht "valide" Lücken meldeten, wurde vom vorgesehenen "Geldtopf" von 15'000 Franken mit 7350 Franken nur gut die Hälfte ausbezahlt, wie Florian Badertscher erklärt. Die Differenz gehört dem Kunden und verbleibt normalerweise "für weitere Aufträge" auf einem Konto beim Unternehmen.
Eine kritische Lücke ist 3000 Franken wert.
Bezahlt wird nach CVS-System, das Lücken auf einer zehnstufigen Skala zwischen unkritisch und kritisch einordnet. Je kritischer ein Leck, desto mehr Geld gibts für die Hacker. Dementsprechend kassierte "Brsn" 6050 Franken, die anderen vier Hacker, die valide Lücken meldeten, teilen sich weitere 300 Franken – der Rest geht leer aus.
Jährliches Bug-Bounty-Programm wäre optimal, aber kaum machbar
"Wir gingen mit einer offenen Erwartungshaltung in die Tests", sagt Brügger, "und sind zufrieden mit den Ergebnissen". Dummerweise sei der Incident Report am Freitag gekommen, was "uns ein arbeitsreiches Wochenende bescherte", aber dennoch könnten Unternehmen mit Bug Bounty "nur gewinnen". Wären die beiden Lücken von bösartigen Hackern gefunden worden, hätte dies das Spital viel mehr gekostet, als die insgesamt 30'000 Franken für diesen dreiwöchigen Test. Es sei wichtig, nebst internen Awarenesstrainings, sich auch regelmässig von extern testen zu lassen.
Theoretisch wolle man das in Thun jährlich machen, in der Praxis würden Pentests dann aber "alle zwei bis drei Jahre" stattfinden, so Brügger. Beim nächsten Mal will das Spital den White-Hat-Hackern auch die Zugänge zu Accounts von Mitarbeitenden zur Verfügung stellen, um das Angriffsszenario noch realistischer zu machen. Darauf habe man dieses Mal noch verzichtet.
Rechtliche Situation von Bug Bounty
In der Schweiz können Bug-Bounty-Programme heute laut Florian Badertscher rechtssicher betrieben werden. Einzig eine nationale "Vulnerability Disclosure Policy", wie sie die EU aktuell im Rahmen der NIS2 Initiative vorwärtstreibt, und die greift, wenn eine Organisation keine eigene publiziert, fehle noch, ergänzt er. Damit könnten auch noch die verbleibenden, minimalen Unsicherheiten für die Hacker komplett eliminiert werden. Da eine Kollaboration mit ethischen Hackern für viele Organisationen ungewohnt und neu ist, "braucht es für die Legal-Abteilung oft am meisten Überzeugungsarbeit, wenn die IT-Abteilung Tests fahren will", so Badertscher.
Eine andere Sicht zeigt ein aktuelles Rechtsgutachten. Laut diesem macht man sich mit wenigen Ausnahmen straffällig, wenn man ohne Einverständnis in geschützte IT-Systeme eindringt.